A equipe responsável pelo Ubuntu Linux vai analisar manualmente Snap Store após golpes. Portanto, a Snap Store, onde aplicativos Snap em contêineres são distribuídos para sistemas Linux como o Ubuntu, sofre com muitos ataques há meses. São uploads falsos de carteiras criptográficas que buscam roubar as moedas dos usuários. Sendo assim, os responsáveis pelo Ubuntu agora estão revisando manualmente os aplicativos enviados para a loja antes que eles estejam disponíveis.
A mudança ocorre após denúncias do ex-funcionário da Canonical/Ubuntu Alan Pope, que atuou na equipe do Snapcraft, mas ainda é muito ativo no ecossistema. Em fevereiro, Pope escreveu um blog sobre como um investidor de bitcoin perdeu nove bitcoins (cerca de US$ 490 mil na época) usando um aplicativo “Exodus Wallet” da loja Snap.
Exodus é uma carteira de criptomoedas conhecida. No entanto, essa carteira não era dessa entidade. Como disse um usuário que se perguntou o que aconteceu nos fóruns do Snapcraft, a carteira imediatamente transferiu todo o seu saldo para um endereço desconhecido. Isso depois da inserção de uma frase de recuperação.
Ao se inscrever, você concorda com nosso contrato de usuário (incluindo as cláusulas de renúncia a ações coletivas e arbitragem), nossa política de privacidade e declaração de cookies, e para receber e-mails de marketing e relacionados à conta da Ars Technica. Você pode cancelar a inscrição a qualquer momento.
Ubuntu Linux vai analisar manualmente Snap Store após golpes
Pope destaca que a criptomoeda é inerentemente repleta de risco de perda. Ainda assim, o App Center do Ubuntu, que apresenta a Snap Store para usuários de desktop, marcou o aplicativo “Exodus” como “Seguro”, e a versão web da Snap Store descreve o Snaps como “seguro para executar”. Enquanto o Ubuntu está descrevendo os aplicativos como “Seguros” no sentido de ser um contêiner de atualização automática com confinamento de tempo de execução (ou “sandboxed”), uma marca de seleção verde com “Seguro” ao lado pode ser mal lida, especialmente por um recém-chegado ao Ubuntu, Snaps e Linux em geral.
Mais do que isso, o post de Pope aponta que escrever, empacotar e carregar o Snap na loja do Ubuntu resulta em um aplicativo que é “imediatamente pesquisável e disponível para qualquer pessoa, em quase qualquer lugar para baixá-lo, instalá-lo e executá-lo” (grifo do Pope). Não há, observou, “nenhum ser humano no circuito”.
Mark Shuttleworth, fundador do Ubuntu e CEO da Canonical, respondeu a um tópico relacionado sobre se os aplicativos de criptografia deveriam ser banidos completamente. “Concordo que a criptomoeda é em grande parte uma fossa de intenções ignóbeis, mesmo que a matemática seja interessante”, escreveu Shuttleworth. No Ubuntu, era comum oferecer medidas de segurança adicionais, “mesmo que nunca sejam perfeitas”. Tornar os aplicativos mais seguros para pessoas vulneráveis à engenharia social é “um problema muito difícil, mas no qual acho que podemos e devemos nos envolver”, escreveu Shuttleworth.
Ele, no entanto, não concordou que os aplicativos de criptomoedas deveriam ser amplamente banidos.
Guerra silenciosa
Depois do que Shuttleworth descreveu como “uma guerra silenciosa com esses atores mal-intencionados nos últimos meses” (que estava, de acordo com Pope, em andamento no início deste mês), os Snaps estão de fato mudando.
Nos fóruns do Snapcraft, Holly Hall, líder de produto da empresa de serviços de suporte do Ubuntu, Canonical, escreveu na semana passada sobre uma nova política de revisão manual para todos os novos registros do Snap. As equipes de engenharia analisarão os aplicativos e entrarão em contato com os editores para verificar nomes e intenções. Um nome que seja “suspeito de ser malicioso ou esteja relacionado à carteira de criptomoedas” será rejeitado. Uma política sobre como publicar corretamente uma carteira de criptomoedas na loja Snap está chegando, escreveu Hall.
Uma plataforma de aplicativo (loja) em área restrita diferente, o Flathub, fez recentemente alterações relacionadas ao seu processo de validação. O Flathub agora sinaliza aplicativos que fizeram alterações notáveis em solicitações de permissão ou nomes de pacotes. Os repositórios de software abertos há muito tempo enfrentam problemas com uploads semelhantes mal-intencionados, incluindo o índice PyPI para programação em Python.